Жаңа бұлтқа негізделген дербес компьютерді қорғауды басқару консолі - Check Point SandBlast агентін басқару платформасы туралы сериядағы үшінші мақалаға қош келдіңіз. Еске сала кетейін біз Infinity порталымен таныстық және бұлтқа негізделген агентті басқару қызметін, Endpoint Management Service құрдық. жылы Біз веб-басқару консолінің интерфейсін зерттедік және пайдаланушы құрылғысында стандартты саясаты бар агентті орнаттық. Бүгін біз Қауіптердің алдын алу стандартты қауіпсіздік саясатының мазмұнын қарастырамыз және оның танымал шабуылдарға қарсы тұрудағы тиімділігін сынаймыз.
Қауіптің алдын алудың стандартты саясаты: Сипаттама
Жоғарыдағы суретте әдепкі бойынша бүкіл ұйымға (барлық орнатылған агенттерге) қолданылатын және қорғау құрамдастарының үш логикалық тобын қамтитын Қауіптердің алдын алудың стандартты саясаты көрсетілген: Веб және файлдарды қорғау, мінез-құлық қорғауы және талдау және түзету. Әр топты толығырақ қарастырайық.
Веб және файлдарды қорғау
URL сүзгісі
URL сүзгілеу сайттардың алдын ала анықталған 5 санатын пайдалана отырып, пайдаланушының веб-ресурстарға қатынасын басқаруға мүмкіндік береді. 5 санаттың әрқайсысында конфигурациялауға мүмкіндік беретін бірнеше нақты ішкі санаттар бар, мысалы, «Ойындар» ішкі санатына кіруді бұғаттау және бірдей өнімділікті жоғалту санатына кіретін «Лездік хабар алмасу» ішкі санатына кіруге рұқсат беру. Арнайы ішкі санаттармен байланысты URL мекенжайлары Check Point арқылы анықталады. Арнайы URL мекенжайы жататын санатты тексеруге немесе арнайы ресурста санатты қайта анықтауды сұрауға болады .
Әрекетті Алдын алу, Анықтау немесе Өшіру күйіне орнатуға болады. Сондай-ақ, Анықтау әрекетін таңдаған кезде пайдаланушыларға URL сүзгілеу ескертуін өткізіп жіберуге және қызығушылық ресурсына өтуге мүмкіндік беретін параметр автоматты түрде қосылады. Prevent пайдаланылса, бұл параметрді жоюға болады және пайдаланушы тыйым салынған сайтқа кіре алмайды. Тыйым салынған ресурстарды басқарудың тағы бір ыңғайлы жолы - блоктау тізімін орнату, онда домендерді, IP мекенжайларын көрсетуге немесе блокталатын домендер тізімі бар .csv файлын жүктеп салуға болады.
URL сүзгісінің стандартты саясатында әрекет Анықтау күйіне орнатылады және бір санат таңдалады - оқиғалар анықталатын қауіпсіздік. Бұл санатқа әртүрлі анонимизаторлар, қауіпті/жоғары/орташа тәуекел деңгейі бар сайттар, фишинг сайттары, спам және т.б. кіреді. Дегенмен, пайдаланушылар «Пайдаланушыға URL сүзу ескертуін қабылдамауға және веб-сайтқа кіруге рұқсат беру» параметрінің арқасында әлі де ресурсқа қол жеткізе алады.
Жүктеп алу (веб) қорғау
Эмуляция және шығарып алу Check Point бұлттық құм жәшігінде жүктелген файлдарды эмуляциялауға және құжаттарды жылдам тазалауға, ықтимал зиянды мазмұнды жоюға немесе құжатты PDF форматына түрлендіруге мүмкіндік береді. Үш жұмыс режимі бар:
- Алдын алу — соңғы эмуляция үкімі шыққанға дейін тазартылған құжаттың көшірмесін алуға немесе эмуляцияның аяқталуын күтуге және түпнұсқа файлды дереу жүктеп алуға мүмкіндік береді;
- Анықтау — үкімге қарамастан пайдаланушының файлдың түпнұсқасын алуына кедергі келтірмей, фондық режимде эмуляцияны жүзеге асырады;
- ажыратылған — кез келген файлдарды эмуляциясыз және ықтимал зиянды құрамдастарды тазартпай жүктеп алуға рұқсат етіледі.
Сондай-ақ Check Point эмуляциясы және тазалау құралдары қолдамайтын файлдар үшін әрекетті таңдауға болады - барлық қолдау көрсетілмейтін файлдарды жүктеуге рұқсат беруге немесе бас тартуға болады.
Жүктеп алуды қорғауға арналған стандартты саясат Алдын алу күйіне орнатылған, ол ықтимал зиянды мазмұннан тазартылған түпнұсқа құжаттың көшірмесін алуға мүмкіндік береді, сонымен қатар эмуляция және тазалау құралдары қолдамайтын файлдарды жүктеп алуға мүмкіндік береді.
Тіркелгі деректерін қорғау
Тіркелгі деректерін қорғау құрамдас бөлігі пайдаланушының тіркелгі деректерін қорғайды және 2 құрамдас бөлікті қамтиды: нөлдік фишинг және құпия сөзді қорғау. Нөлдік фишинг пайдаланушыларды фишингтік ресурстарға қол жеткізуден қорғайды және Құпия сөзбен қорғау пайдаланушыны қорғалатын доменнен тыс корпоративтік тіркелгі деректерін пайдалануға жол берілмейтіндігі туралы хабарлайды. Нөлдік фишингті Алдын алу, анықтау немесе Өшіру күйіне орнатуға болады. Алдын алу әрекеті орнатылғанда, пайдаланушыларға әлеуетті фишингтік ресурс туралы ескертуді елемеу және ресурсқа кіру рұқсатын беруге немесе бұл опцияны өшіріп, кіруді мәңгілікке блоктауға болады. Анықтау әрекеті арқылы пайдаланушыларда әрқашан ескертуді елемеу және ресурсқа кіру мүмкіндігі болады. Құпия сөзді қорғау құпия сөздердің сәйкестігі тексерілетін қорғалған домендерді және үш әрекеттің бірін таңдауға мүмкіндік береді: Анықтау және ескерту (пайдаланушыға хабарлау), Анықтау немесе Өшіру.
Тіркелгі деректерін қорғаудың стандартты саясаты кез келген фишинг ресурстарының пайдаланушылардың ықтимал зиянды сайтқа кіруіне жол бермеу болып табылады. Корпоративтік құпия сөздерді пайдаланудан қорғау да қосылған, бірақ көрсетілген домендерсіз бұл мүмкіндік жұмыс істемейді.
Файлдарды қорғау
Файлдарды қорғау пайдаланушының құрылғысында сақталған файлдарды қорғауға жауап береді және екі құрамдас бөлікті қамтиды: Зиянды бағдарламаға қарсы және Files Threat эмуляциясы. Зиянды бағдарлама қолтаңбаны талдау арқылы барлық пайдаланушы және жүйелік файлдарды жүйелі түрде сканерлейтін құрал болып табылады. Бұл құрамдастың параметрлерінде тұрақты сканерлеу немесе кездейсоқ сканерлеу уақыттары, қолтаңбаны жаңарту кезеңі және пайдаланушылардың жоспарланған сканерлеуден бас тарту мүмкіндігі үшін параметрлерді конфигурациялауға болады. Files Threat эмуляциясы Check Point бұлттық құм жәшігінде пайдаланушының құрылғысында сақталған файлдарды эмуляциялауға мүмкіндік береді, бірақ бұл қауіпсіздік мүмкіндігі тек Анықтау режимінде жұмыс істейді.
Файлдарды қорғаудың стандартты саясаты зиянды бағдарламаға қарсы қорғауды және Files Threat эмуляциясымен зиянды файлдарды анықтауды қамтиды. Тұрақты сканерлеу ай сайын жүзеге асырылады және пайдаланушы құрылғысындағы қолтаңбалар әр 4 сағат сайын жаңартылады. Бұл ретте пайдаланушылар жоспарланған сканерлеуден бас тарта алатындай конфигурацияланады, бірақ соңғы сәтті сканерлеу күнінен бастап 30 күннен кешіктірмей.
Мінез-құлықты қорғау
Ботқа қарсы, мінез-құлық қорғауы және төлемге қарсы бағдарлама, эксплоитке қарсы
Қорғау құрамдастарының мінез-құлық қорғанысы тобы үш құрамдас бөлікті қамтиды: анти-бот, мінез-құлық қорғауы және төлемге қарсы бағдарлама және эксплоитке қарсы. Анти-бот үнемі жаңартылып отыратын Check Point ThreatCloud дерекқорын пайдаланып C&C қосылымдарын бақылауға және блоктауға мүмкіндік береді. Мінез-құлық қорғауы және төлемге қарсы бағдарлама пайдаланушы машинасындағы белсенділікті (файлдар, процестер, желілік өзара әрекеттесулер) үнемі бақылайды және бастапқы кезеңдерде төлемдік бағдарламалық құрал шабуылдарын болдырмауға мүмкіндік береді. Бұған қоса, бұл қорғау элементі зиянды бағдарлама шифрлаған файлдарды қалпына келтіруге мүмкіндік береді. Файлдар бастапқы каталогтарына қалпына келтіріледі немесе барлық қалпына келтірілген файлдар сақталатын белгілі бір жолды көрсетуге болады. Эксплуатқа қарсы нөлдік күндік шабуылдарды анықтауға мүмкіндік береді. Барлық мінез-құлық қорғау құрамдастары үш жұмыс режимін қолдайды: Алдын алу, Анықтау және Өшіру.
Мінез-құлықты қорғауға арналған стандартты саясат бастапқы каталогтарындағы шифрланған файлдарды қалпына келтіре отырып, Anti-Bot және Behavioral Guard және Anti-Ransomware құрамдастары үшін Prevent мүмкіндігін береді. Anti-Exploit компоненті өшірілген және пайдаланылмайды.
Талдау және түзету
Автоматтандырылған шабуылды талдау (криминалистика), қалпына келтіру және әрекет ету
Қауіпсіздік оқиғаларын талдау және тергеу үшін екі қауіпсіздік құрамдастары қол жетімді: автоматтандырылған шабуылды талдау (криминалистика) және қалпына келтіру және әрекет ету. Шабуылдың автоматтандырылған талдауы (криминалистика) егжей-тегжейлі сипаттамасы бар шабуылдарды тойтару нәтижелері туралы есептерді жасауға мүмкіндік береді - пайдаланушының машинасында зиянды бағдарламаны орындау процесін талдауға дейін. Сондай-ақ, алдын ала анықталған немесе жасалған сүзгілер арқылы аномалияларды және ықтимал зиянды әрекеттерді белсенді түрде іздеуге мүмкіндік беретін Threat Hunting мүмкіндігін пайдалануға болады. Түзету және жауап беру шабуылдан кейін файлдарды қалпына келтіру және карантинге қою параметрлерін конфигурациялауға мүмкіндік береді: пайдаланушының карантиндік файлдармен әрекеттесуі реттеледі, сонымен қатар карантиндік файлдарды әкімші көрсеткен каталогта сақтауға болады.
Стандартты Талдау және түзету саясаты қалпына келтіруге арналған автоматты әрекеттерді (процестерді аяқтау, файлдарды қалпына келтіру және т.б.) қамтитын қорғауды қамтиды және файлдарды карантинге жіберу опциясы белсенді және пайдаланушылар файлдарды карантиннен ғана жоя алады.
Қауіптің алдын алудың стандартты саясаты: Тестілеу
CheckMe Endpoint Check Point
Шабуылдардың ең танымал түрлеріне қарсы пайдаланушының машинасының қауіпсіздігін тексерудің ең жылдам және оңай жолы - ресурсты пайдаланып тест жүргізу. , ол әртүрлі санаттағы бірқатар типтік шабуылдарды жүзеге асырады және тестілеу нәтижелері туралы есеп алуға мүмкіндік береді. Бұл жағдайда орындалатын файл жүктеліп, компьютерге іске қосылатын Endpoint testing опциясы пайдаланылды, содан кейін тексеру процесі басталады.
Жұмыс істейтін компьютердің қауіпсіздігін тексеру процесінде SandBlast Agent пайдаланушы компьютеріне анықталған және көрсетілген шабуылдар туралы сигнал береді, мысалы: Anti-Bot тақтасы инфекцияның анықталғаны туралы хабарлайды, Зиянды бағдарламалық құралға қарсы пышағы оны анықтады және жойды. зиянды CP_AM.exe файлы және Қауіп эмуляциясының жолағы CP_ZD.exe файлының зиянды екенін орнатты.
CheckMe Endpoint арқылы тестілеу нәтижелеріне сүйене отырып, біз келесі нәтижеге қол жеткіздік: 6 шабуыл санатының ішінде Қауіптің алдын алу стандартты саясаты тек бір санатты жеңе алмады - Browser Exploit. Бұл стандартты Қауіптердің алдын алу саясатында Анти-Экплойт пышағы жоқ. Айта кету керек, SandBlast Agent орнатылмай, пайдаланушының компьютері тек Ransomware санатында сканерлеуден өтті.
KnowBe4 RanSim
Anti-Ransomware пышағы жұмысын тексеру үшін тегін шешімді пайдалануға болады , ол пайдаланушының құрылғысында бірқатар сынақтарды жүргізеді: 18 төлемдік бағдарламалық құралды жұқтыру сценарийі және 1 криптоминерді жұқтыру сценарийі. Алдын алу әрекеті бар стандартты саясатта (Қауіпті эмуляция, Зиянды бағдарламаға қарсы, мінез-құлық қорғауы) көптеген жолақтардың болуы бұл сынақтың дұрыс орындалуына мүмкіндік бермейтінін атап өткен жөн. Дегенмен, тіпті төмендетілген қауіпсіздік деңгейімен (Өшірулі режимдегі қауіп эмуляциясы) Anti-Ransomware blade сынағы жоғары нәтижелерді көрсетеді: 18 сынақтың 19-і сәтті өтті (1 іске қосылмады).
Зиянды файлдар мен құжаттар
Бұл пайдаланушының машинасына жүктелген танымал пішімдердің зиянды файлдарын пайдалану арқылы стандартты Қауіптердің алдын алу саясатының әртүрлі жолақтарының жұмысын тексеру үшін индикатор болып табылады. Бұл сынақ PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF пішіміндегі 66 файлды қамтыды. Сынақ нәтижелері SandBlast Agent 64 зиянды файлдың 66-ін бұғаттай алатынын көрсетті. Вирус жұққан файлдар жүктеп алғаннан кейін жойылды немесе Threat Extraction көмегімен зиянды мазмұннан тазартылды және пайдаланушы оны қабылдады.
Қауіптердің алдын алу саясатын жетілдіру бойынша ұсыныстар
1. URL сүзгілеу
Клиенттік құрылғының қауіпсіздік деңгейін арттыру үшін стандартты саясатта түзетуді қажет ететін бірінші нәрсе URL сүзу жолағын Алдын алу күйіне ауыстыру және бұғаттауға сәйкес санаттарды көрсету. Біздің жағдайда, жалпы пайдаланудан басқа барлық санаттар таңдалды, өйткені олар жұмыс орнындағы пайдаланушыларға қолжетімділікті шектеу қажет ресурстардың көпшілігін қамтиды. Сондай-ақ, мұндай сайттар үшін «Пайдаланушыға URL сүзгілеу ескертуін өшіруге және веб-сайтқа кіруге рұқсат беру» параметрінен құсбелгіні алып тастау арқылы пайдаланушылардың ескерту терезесін өткізіп жіберу мүмкіндігін алып тастаған жөн.
2. Жүктеп алудан қорғау
Назар аударатын екінші нұсқа - пайдаланушылардың Check Point эмуляциясы қолдамайтын файлдарды жүктеп алу мүмкіндігі. Бұл бөлімде стандартты Қауіптердің алдын алу саясатының қауіпсіздік тұрғысынан жақсартуларын қарастыратындықтан, ең жақсы нұсқа қолдау көрсетілмейтін файлдарды жүктеп алуды блоктау болады.
3. Файлдарды қорғау
Сондай-ақ файлдарды қорғау параметрлеріне, атап айтқанда, мерзімді сканерлеу параметрлеріне және пайдаланушының мәжбүрлі сканерлеуді кейінге қалдыру мүмкіндігіне назар аудару керек. Бұл жағдайда пайдаланушының уақыт аралығын ескеру қажет және қауіпсіздік пен өнімділік тұрғысынан жақсы нұсқа - кездейсоқ таңдалған уақытпен (00:00-ден 8-ге дейін:) күн сайын іске қосу үшін мәжбүрлі сканерлеуді конфигурациялау. 00) және пайдаланушы сканерлеуді ең көбі бір аптаға кейінге қалдыра алады.
4. Эксплуатқа қарсы
Қауіптің алдын алу стандартты саясатының маңызды кемшілігі - эксплоитке қарсы пышақтың өшірілгені. Жұмыс станциясын эксплойттарды пайдаланатын шабуылдардан қорғау үшін бұл жолақты Алдын алу әрекетімен қосу ұсынылады. Осы түзету арқылы CheckMe қайта сынағы пайдаланушының өндірістік құрылғысындағы осалдықтарды анықтамай сәтті аяқталады.
қорытынды
Қорытындылаймыз: осы мақалада біз стандартты Қауіптердің алдын алу саясатының құрамдас бөліктерімен таныстық, әртүрлі әдістер мен құралдарды қолдана отырып, осы саясатты сынадық, сонымен қатар пайдаланушы машинасының қауіпсіздік деңгейін арттыру үшін стандартты саясаттың параметрлерін жақсарту бойынша ұсыныстарды сипаттадық. . Сериядағы келесі мақалада біз Деректерді қорғау саясатын зерттеуге көшеміз және Жаһандық саясат параметрлерін қарастырамыз.
. SandBlast Agent Management Platform тақырыбы бойынша келесі жарияланымдарды жіберіп алмау үшін біздің әлеуметтік желілердегі жаңартуларды қадағалаңыз (, , , , ).
Ақпарат көзі: www.habr.com